【セキュリティの基礎技術】
★FW
フィルタリング機能
DMZ
パケットフィルタリング方式
サーキットゲートウェイ方式
アプリケーションゲートウェイ方式
★UTM
United Threat Management
セキュリティの統合管理製品
FW機能
VPN機能
侵入防止機能
バッファオーバーフロー攻撃遮断機能
★HA機能
高可用性 High Availability
FWの冗長化の仕組み
主系と副系
ActiveとStandby
★認証LAN
IEEE802.1X認証:IETF(Internet Engineering Task Force)が規定したEAP(Extensible Authentication Protocol)という認証や暗号鍵配送用のフレームワークを利用している
EAP-MD5:EAPの枠組みで動作するCHAP
PEAP:サーバ証明書を使い、クライアント側はIDとパスワードを利用する
EAP-TLS:SSLの後継であるTLSによって認証を行う
サプリカント:クライアントPCにインストール
オーセンティケータ:認証する者
認証サーバ:RADIUS
★IDSとIPS
Intrusion Detection System:侵入検知システム
ネットワーク型IDS
ホスト型IDS
Intrusion Prevention System
データの中身もチェックできる
シグネチャ型:既知の攻撃パターンとマッチング
アノマリ型:異常なパケット、トラフィックを分析
フォールスポジティブ
フォールスネガティブ
★IPsec
VPN:Visual Private Network
インターネットVPNを実現するときの技術がIPsec
暗号化だけでなく認証、改ざん検知なども含めた総合的なセキュリティを確保できる
利用者の利便性が高い
ESP:Encapsulating Security Payload 暗号化と認証
AH:Authentication Header 認証のみ あんまり利用されない
IKE:Internet Key Exchange 鍵交換のプロトコル
NATトラバーサル:ESPパケットをUDPでカプセル化することによって、NAT機器によるIPアドレスとポート番号の変換を可能にしている
VPNパススルー:NATルータがIPsecやPPTPの通信を識別して、適切な聞きにパケットを転送する方式
★PKI
Public Key Infrastructure:公開鍵基盤
公開鍵を利用したセキュリティ基盤
ディジタル証明書:公開鍵を証明するもの
ディジタル署名:改ざん防止、なりすまし防止、否認防止、暗号化
認証局(CA)
CRL:Certificate Revocation List 失効リスト
★SSL
Secure Socket Layer
ネットスケープコミュニケーションズ社が開発したデータを暗号化するプロトコル
https
TSL:機能追加したもの
SSLハンドシェイクプロトコルとSSLレコードプロトコル
SSL-VPN
★標的型攻撃